Defaults.Exposed

Defaults.Exposed › Rapporter

Vad är DNSSEC – och behöver du det egentligen? (2026)

Publicerad 2026-07-01

Siffror per 2026-06-29 · metodik v7. Aggregerad folkräkningsdata över 261 miljoner betygsatta domäner. DNSSEC lägger till kryptografiska signaturer i DNS så att en resolver kan bevisa att ett svar verkligen kommer från dig och inte har manipulerats. Se hur vi betygsätter.

DNSSEC stämplar varje DNS-svar för din domän med en signatur, så att en angripare inte i tysthet kan byta ut det mot ett falskt och skicka dina besökare någon annanstans. Det är en av de minst utbredda skyddsåtgärderna på webben: bara 1.99 % av 261 miljoner domäner har en giltig signerad kedja. Det är också en av de få där en felaktig konfiguration är värre än ingen alls – 3.02 % av domänerna är signerade men trasiga, vilket kan göra dem oåtkomliga. Här är vad det gör och om du behöver det.

Vad DNSSEC faktiskt skyddar mot

Vanlig DNS har inget sätt att bevisa att ett svar är äkta. Det öppnar dörren för cacheförgiftning och DNS-spoofing på vägen – en angripare matar in en förfalskad post hos en resolver och pekar om dina besökare, eller din e-post, till sin server, utan någon certifikatvarning som avslöjar det. DNSSEC täpper till den luckan genom att signera posterna så att en validerande resolver avvisar allt som inte verifieras.

Vad det inte gör: det krypterar inte DNS, säkrar inte själva webbplatsen och ersätter inte HTTPS, DMARC eller CAA. Det är ett lager – integritet för DNS-svar.

Läget för utbredningen

Per domänändelse varierar giltig DNSSEC kraftigt: 18.38 % på .se, 11.86 % på .nl, 14.62 % på .cz – mot bara 1.62 % på .com.

Behöver du det?

Hur du aktiverar det på ett säkert sätt

  1. Använd en DNS-leverantör som automatiserar DNSSEC – signering och nyckelrotationer sköts åt dig (de flesta stora leverantörer gör nu detta med ett klick). Se åtgärda DNSSEC.
  2. Aktivera signering och publicera sedan DS-posten hos din registrar för att fullborda förtroendekedjan.
  3. Validera att kedjan går att lösa upp innan du släpper det – en signerad-men-trasig domän är värre än en osignerad.
  4. Handhantera aldrig nycklar om du inte har verktygen för att rotera dem tillförlitligt.

Vanliga frågor

Vad är DNSSEC med enkla ord? Det är en uppsättning digitala signaturer på dina DNS-poster så att resolvers kan bevisa att svaret är äkta och inte förfalskades under transporten.

Behöver jag verkligen DNSSEC? Det är mest värdefullt för högt utsatta domäner och där regelverk kräver det. För alla andra är det ett bra härdningssteg om din DNS-leverantör automatiserar det – den främsta risken är en felkonfiguration, som 3.02 % av domänerna för närvarande har.

Krypterar DNSSEC min DNS? Nej. Det bevisar integritet (att svaret är äkta) men döljer inte förfrågan. Det är en annan teknik (DoH/DoT).

Kan DNSSEC ha sönder min webbplats? En trasig eller utgången signatur kan göra din domän omöjlig att lösa upp för alla som använder en validerande resolver. Därför är automatiserad signering och nyckelrotation viktigt.

Är DNSSEC gratis? Ja hos de flesta moderna DNS-leverantörer – det är en inställning, inte ett köp.

Kontrollera din domäns DNSSEC gratis

Se om din domän är signerad, giltig och korrekt kedjad – privat och endast för ägaren.

Kontrollera din domän → · Åtgärda DNSSEC → · Fungerar obligatorisk DNSSEC? → · Hur vi betygsätter → · Endast aggregerad data. Data lagras och behandlas i EU.